| Data: 2016-01-30 20:10:22 | |
| Autor: ...:::WISKOLER:::... | |
| Dziwny plik | |
|
Witam.
Na kompie z Win7 PL x64, w momencie włożenia pendriva do portu USB tworzony /kopiowany jest plik package.vbs. Komputer wolny jest od wirusów. Przeskanowałem adwcleaner - nic nie znalazł, a plik nadal pojawia się. W zasadzie nic nie robi, ale troche denerwuje mnie sk±d to się bierze. Plik wystawiłem ze zmienion± nazwż na http://przeklej.org/file/9LkiNR/package.vbs.old zmiana nazwy polega na dodaniu końcówki old. Kto¶ co¶ podpowie co zacz? -- ....:::WISKOLER:::... Stirlitz budzi się z okropnym bólem głowy. Mętnym wzrokiem spogl±da wokół: na stole bateria pustych butelek, obok naga posiniaczona kobieta, poza tym potworny bałagan, połamane meble... U¶miecha się rado¶nie. W tym dniu, dniu Armii Czerwonej, zachował się jak prawdziwy radziecki oficer. |
|
| Data: 2016-01-30 20:54:21 | |
| Autor: Olaf Frikiov Skiorvensen | |
| Dziwny plik | |
|
Wcale nie przypadkiem, dnia Sat, 30 Jan 2016 20:10:22 +0100 doszła do mnie wiadomo¶ć
<14fgj8imex8hh$.1vzjhweghaw7n$.dlg@40tude.net> od " ...:::WISKOLER:::..." <jvfxbyre@burgh.rh> : Witam. https://technet.microsoft.com/pl-pl/sysinternals/processmonitor http://www.moo0.com/software/FileMonitor/ Tym wy¶ledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada. -- Całujmy wszyscy dupę Henryka. http://www.racjonalista.pl/kk.php/s,1546 |
|
| Data: 2016-01-31 19:48:08 | |
| Autor: ...:::WISKOLER:::... | |
| Dziwny plik | |
|
Na grupie pl.comp.pecet, osobnik mieniÄ…cy siÄ™ nazwÄ… Olaf Frikiov
Skiorvensen naskrobał(a): Tym wyśledzisz co ten plik zapisuje, potem tylko zostaje ubić dziada. Ciężko było ale w końcu namierzyłem dziada. Virustotal niczego nie zeznał na temat tego pliku mimo intensywnego przesłuchania. Taki sam plik mam w c:\users\MojaNazwa\AppData\Roaming\package.vbs i tutaj jest on normalnie widoczny, bo jak już jest skopiowany na pendriva to jako ukryty i systemowy. Wg Unlockera procesem który go tworzy jest umiejscowiony w c:\windows\system32\WScript.exe Virustotal zeznaje iz jest to czysty plik dostarczony przez wielkiego brata M$, no i teraz mam dylemat - skasować dziada? Po jakiego diabła kopiuje mi plik *.vbs za każdym włożeniem do portu USB? -- ....:::WISKOLER:::... Pod dom Stirlitza podjechał samochód, z którego wyskoczyło trzech gestapowców i zaczęło głośno dobijać się do drzwi. – Nikogo nie ma w domu – zawołał do nich z okna Stirlitz. Gestapowcy wsiedli do samochodu i odjechali. W ten sposób Stirlitz wodził za nos Gestapo już piąty miesiąc. |
|
| Data: 2016-01-31 20:43:25 | |
| Autor: JaNus | |
| Dziwny plik | |
|
W dniu 2016-01-31 o 19:48, ...:::WISKOLER:::... pisze:
> Póki co, to nie kasuj, tylko zmień nazwę, bądź lokalizację, i zobacz co się stanie. Ale jeśli ma on status systemowego-chronionego, to system zniweluje owo działanie: przywróci go z kopii zapasowej! A z tym jak walczyć - to ja nie wiem... -- Powiedzenie w mojej rodzinie, autorstwa pradziadka: Dobre rady nic nie kosztują i przeważnie warte są swojej... ceny! |
|
| Data: 2016-01-31 20:54:48 | |
| Autor: Robert Winkler | |
| Dziwny plik | |
|
W dniu 31.01.2016 o 19:48, ...:::WISKOLER:::... pisze:
Na grupie pl.comp.pecet, osobnik mieniący się nazwą Olaf Frikiov WScript.exe to element Windows Scripting Host Jest to element systemu pozwalający na uruchamianie skryptów napisanych w VBScript, JavaScript, a dzięki swojej otwartej architekturze, także innych języków które można doinstalowywać. Sam plik c:\users\MojaNazwa\AppData\Roaming\package.vbs jest wirusem, korzystającym z tego systemowego mechanizmu i to tego pliku trzeba się pozbyć. Tyle, że jeśli twórca wirusa był inteligentny to poza plikiem package.vbs jeszcze "coś" jakiś dodatkowy program, który sprawdza czy package.vbs znajduje się na dysku i przywraca go. Proces WScript.exe możesz spokojnie ubić i spróbować skasować package.vbs ale gdy będziesz to robił, to monitoruj dysk na wypadek gdyby coś starało się go odtworzyć. -- Robert |
|
| Data: 2016-02-01 16:25:27 | |
| Autor: ...:::WISKOLER:::... | |
| Dziwny plik | |
|
Na grupie pl.comp.pecet, osobnik mieni±cy się nazw± Robert Winkler
naskrobał(a): Proces WScript.exe możesz spokojnie ubić No wła¶nie co¶ takiego zrobiłem wczoraj, ubiłem proces WScript.exe, zmieniłem nazwę pliku package.vbs na *.old i zostawiłem w spokoju. Dzi¶ pliku package.vbs nie ma w rzeczonej lokalizacji (jest tylko ten ze zmieniona nazw±) i po włożeniu pena do portu na nim nie pojawia sie podejrzany plik. Zastanawia mnie tylko że zarówno mój AV jak i virustotal nie wykryły niczego niebezpiecznego w tym pliku ani w sposobie jak był kopiowany na pena. -- ....:::WISKOLER:::... Gestapo obstawiło wszystkie wyj¶cia, ale Stirlitz je przechytrzył. Uciekł wej¶ciem. |
|
| Data: 2016-02-02 11:15:26 | |
| Autor: Stregor | |
| Dziwny plik | |
No wła¶nie co¶ takiego zrobiłem wczoraj, ubiłem proces WScript.exe, Skoro masz wci±ż ten plik, to próbuj na virustotalu przez kilka dni. Z do¶wiadczenia wiem, że po kilku dniach coraz więcej antywirusów zaczyna plik rozpoznawać, a na pocz±tku może żaden nie widzieć w nim nic podejrzanego. -- Pozdrawiam, Stregor |
|
| Data: 2016-02-02 15:18:16 | |
| Autor: Olaf Frikiov Skiorvensen | |
| Dziwny plik | |
|
Wcale nie przypadkiem, dnia Tue, 2 Feb 2016 11:15:26 +0100 doszła do mnie wiadomo¶ć
<56b081be$0$22837$65785112@news.neostrada.pl> od Stregor <stregor@wytnij.to.gmail.com> : No wła¶nie co¶ takiego zrobiłem wczoraj, ubiłem proces WScript.exe, Odpaliłem go w maszynie wirtualnej, usiłuje się ł±czyć z hostem 149.202.7.196 na porcie 4770, ale przez kilkana¶cie godzin ten host nie odpowiedział, więc nie wiem co to za dziad. Analiza zewnętrzna: https://www.hybrid-analysis.com/sample/f7c9ab839315c633fb51cb19137424afe41a2c1ae23cdd807f2b64386b2bb60a?environmentId=4 Podobne już były: https://www.hybrid-analysis.com/sample/8e78ab9a85266301c25474fdce8d2a0d1ca2201d5a7ad8f202302a5c8580e643?environmentId=4 Silniki AV tego nie wykrywaj±. Ciekawe jak wlazło do systemu. -- "Marian milczał. Wiedział, że musi milczeć i czekać. Wokół było pusto i cicho. Ta cisza krzyczała." Jan oborniak, "Krzyk ciszy" |
|